Comment faire pour vérifier proxy DNS

Comment faire pour vérifier proxy DNS

96286
Created On 09/25/18 19:49 PM - Last Modified 11/02/23 14:38 PM


Resolution


Référez-vous au présent document, Comment configurer le proxy DNS sur un pare-feude réseaux de Palo Alto, pour configurer le proxy DNS.

 

Dans L'exemple, le proxy DNS est activé sur Ethernet 1/1 avec l'adresse IP 10.50.240.72, qui est le serveur DNS pour les ordinateurs hôtes internes.

 

KB1. Png

 

 

KB2. Png

 

Serveurs DNS sur les ordinateurs hôtes--10.50.240.72.

 

Étant donné que le trafic DNS de l'hôte prendra une stratégie intrazone, nous devons activer le journal à la fin de la session dans la stratégie intrazone par défaut. Ou, vous pouvez créer une nouvelle stratégie:

 

C:\users\administrator > nslookup
DNS Request timed out.
délai d'attente de 2 secondes.
Serveur par défaut:
adresse inconnue: 10.50.240.72 ceci est mon serveur DNS  

 

L'adresse IP de la machine de test est 10.50.240.137

L'interface de confiance E1/1 du pare-feu est 10.50.240.72, qui est l'interface sur laquelle le proxy DNS est activé, et le serveur DNS pour les serveurs internes.

 

 

Méthode n ° 1

 

Chaque fois que les hôtes font un nslookup ou les utilisateurs vont à n'importe quel domaine, vous remarquerez sessions, qui vérifient proxy DNS fonctionne très bien. 

 

Taranf @ chnlab-fw74 > Show session tous les filtres d'application DNS
-----------------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port]) 
VSys DST [dport]/zone (traduit IP [port])
-----------------------------------------------------------------------------------------
95124 DNS Active Flow 10.50.240.137 [47615]/Untrust-L3/17 (10 .50.240.137 [47615])
vsys1 10.50.240.72[53]/Untrust-L3 (10.50.240.72[53])                                         
                   

Ces sessions proviennent de l'ordinateur hôte interne dont l'adresse IP est 10.50.240.137, à l'adresse IP du pare-feu, 10.50.240.72 (E1/1).

 

La session ci-dessus montre le pare-feu agissant comme un homme au milieu pour les requêtes DNS. Toutefois, sur le pare-feu, nous avons configuré le serveur DNS comme 8.8.8.8, alors maintenant le pare-feu est en contact avec le serveur DNS au nom des hôtes internes.

 

 

Méthode n ° 2

 

Entrez la commande suivante :

> Show DNS-proxy cache All

 

S'il y a des entrées, cela signifie que le proxy DNS fonctionne.


Si vous voulez effacer le cache et assurez-vous qu'aucun vieux cache n'est là, entrez la commande:

> Clear DNS-proxy cache tous


Faites quelques nslookups ou ouvrez Google.com et Vérifiez le cache DNS à l'Aide de la commande: 

> Show DNS-proxy cache All


S'il y a des entrées mises en cache, le proxy DNS fonctionne correctement.

 

 

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language